Beschreiben authentifizierungsbasierter Angriffe

Abgeschlossen

Authentifizierungsangriffe liegen vor, wenn jemand versucht, die Anmeldeinformationen einer anderen Person zu stehlen. Sie können dann vorgeben, diese Person zu sein. Da ein Ziel dieser Arten von Angriffen darin besteht, die Identität eines legitimen Benutzers anzunehmen, werden sie häufig auch als Identitätsangriffe bezeichnet. Zu den gängigen Angriffen zählen beispielsweise folgende:

• Brute-Force-Angriffe
• Wörterbuchangriff
• Credential Stuffing
• Keylogging
• Social Engineering

Brute-Force-Angriffe

Bei einem Brute-Force-Angriff versuchen Angreifer*innen, Zugriff zu erhalten, indem sie einfach verschiedene Kombinationen aus Benutzernamen und Kennwörtern ausprobieren. In der Regel verfügen Angreifer*innen über Tools, die diesen Prozess mit Millionen von Kombinationen aus Benutzernamen und Kennwörtern automatisieren. Einfache Kennwörter mit einstufiger Authentifizierung sind anfällig für Brute-Force-Angriffe.

Wörterbuchangriff

Ein Wörterbuchangriff ist eine Form eines Brute-Force-Angriffs, bei dem ein Wörterbuch häufig verwendeter Wörter angewendet wird. Um diese Angriffsform zu verhindern, ist es wichtig, Symbole, Zahlen und Kombinationen aus mehreren Wörtern für Kennwörter zu verwenden.

Credential Stuffing

Credential Stuffing ist eine Angriffsmethode, bei der die Tatsache genutzt wird, dass viele Benutzer*innen auf verschiedenen Websites denselben Benutzernamen und dasselbe Kennwort verwenden. Angreifer*innen verwenden gestohlene Anmeldeinformationen, die sie im Zuge einer Sicherheitsverletzung auf einer Website erlangt haben, um zu versuchen, auf andere Bereiche zuzugreifen. Sie verwenden in der Regel Softwaretools, um diesen Prozess zu automatisieren. Um Credential Stuffing zu verhindern, ist es wichtig, Kennwörter nicht wiederzuverwenden und regelmäßig zu ändern, insbesondere nach einer Sicherheitsverletzung.

Keylogging

Keylogging umfasst Schadsoftware, die Tastatureingaben protokolliert. Mithilfe des Keyloggers protokollieren (stehlen) Angreifer*innen Kombinationen aus Benutzernamen und Kennwörtern, die dann für Credential-Stuffing-Angriffe verwendet werden können. Dies ist eine gängige Angriffsmethode in Internetcafés oder an einem beliebigen Ort, an dem Sie einen gemeinsam genutzten Computer für den Zugriff verwenden. Um Keylogging zu verhindern, installieren Sie keine Software, die nicht vertrauenswürdig ist, und verwenden Sie seriöse Virenscansoftware.

Keylogging ist nicht nur auf Computer beschränkt. Angenommen, eine Person mit böswilligen Absichten bringt an einem Geldautomaten oberhalb des Kartenlesers und der Tastatur ein Gehäuse oder Gerät an. Wenn Sie Ihre Karte einfügen, passiert sie zunächst den von dieser Person installierten Kartenleser. Dabei werden Kartendetails erfasst, bevor die Karte den Kartenleser des Geldautomaten erreicht. Wenn Sie nun Ihre PIN auf der Tastatur eingeben, die von der Person mit böswilligen Absichten angebracht wurde, kennt sie Ihre PIN ebenfalls.

Social Engineering

Beim Social Engineering wird versucht, Personen dazu zu bringen, Informationen offenzulegen oder eine Aktion durchzuführen, um einen Angriff zu ermöglichen.

Die meisten Authentifizierungsangriffe umfassen die Ausnutzung von Computern oder den Versuch, viele Kombinationen von Anmeldeinformationen auszuprobieren. Social-Engineering-Angriffe unterscheiden sich insofern, dass Schwachstellen von Menschen ausgenutzt werden. Angreifer*innen versuchen, das Vertrauen legitimer Benutzer*innen zu gewinnen. Sie fordern die Benutzer*innen auf, Informationen preiszugeben oder eine Aktion durchzuführen, die es ihnen ermöglicht, Schäden zu verursachen oder Informationen zu stehlen.

Eine Reihe von Social-Engineering-Techniken kann für den Diebstahl von Informationen für die Authentifizierung verwendet werden, einschließlich:

• Phishing liegt vor, wenn Angreifer*innen eine scheinbar legitime E-Mail mit dem Ziel senden, dass Benutzer*innen ihre Authentifizierungsanmeldeinformationen preisgeben. Es kann beispielsweise sein, dass Benutzer*innen eine E-Mail erhalten, die von ihrer Bank zu sein scheint. Über den Link wird eine Seite geöffnet, die wie die Anmeldeseite der Bank aussieht, in Wirklichkeit jedoch eine gefälschte Website ist. Wenn sich Benutzer*innen auf der gefälschten Website anmelden, können die Angreifer*innen auf ihre Anmeldeinformationen zugreifen. Es gibt mehrere Variationen von Phishingangriffen. Beim Spear Phishing sind bestimmte Organisationen, Unternehmen oder Einzelpersonen das Ziel.
• Pretexting ist eine Methode, bei der Angreifer*innen das Vertrauen eines Opfers erlangen und es davon überzeugen, sichere Informationen preiszugeben. Diese können dann für einen Identitätsdiebstahl verwendet werden. Beispielsweise können Hacker*innen Sie anrufen und vorgeben, bei der Bank zu arbeiten, deren Kundin oder Kunde Sie sind, und Ihr Kennwort anfordern, um Ihre Identität zu bestätigen. Bei einem anderen Ansatz werden die sozialen Netzwerke verwendet. Möglicherweise werden Sie aufgefordert, an einer Umfrage oder einem Quiz teilzunehmen, in dem sie scheinbar zufällige und harmlose Fragen gestellt bekommen, die Sie dazu bringen, persönliche Informationen offenzulegen. Eine weitere Möglichkeit besteht darin, dass Sie sich beispielsweise einen Namen für eine fiktive Popband ausdenken sollen, der sich aus dem Namen Ihres ersten Haustiers und dem Namen des Orts zusammensetzt, an dem Sie geboren wurden.
• Baiting ist eine Angriffsform, bei der Angreifer*innen eine falsche Belohnung oder einen Preis anbieten, um das Opfer zu ermutigen, sichere Informationen preiszugeben.

Andere authentifizierungsbasierte Angriffsmethoden

Dies sind nur einige Beispiele für authentifizierungsbasierte Angriffe. Jederzeit können neue Angriffstypen auftreten, aber alle hier aufgeführten können verhindert werden, indem Personen darüber informiert werden und die Multi-Faktor-Authentifizierung verwendet wird.